Configurar mensajes de auditoría y servidor syslog externo
Sugerir cambios
PDF
Puede configurar una serie de ajustes relacionados con los mensajes de auditoría. Puede ajustar la cantidad de mensajes de auditoría registrados; definir cualquier encabezado de solicitud HTTP que desee incluir en los mensajes de auditoría de lectura y escritura del cliente; configurar un servidor syslog externo; y especificar dónde se envían los registros de auditoría, los registros de eventos de seguridad y los registros del software StorageGRID .
Los mensajes y registros de auditoría registran las actividades del sistema y los eventos de seguridad, y son herramientas esenciales para la supervisión y la resolución de problemas. Todos los nodos de StorageGRID generan mensajes de auditoría y registros para rastrear la actividad y los eventos del sistema.
Opcionalmente, puede configurar un servidor syslog externo para guardar la información de auditoría de forma remota. El uso de un servidor externo minimiza el impacto en el rendimiento del registro de mensajes de auditoría sin reducir la integridad de los datos de auditoría. Un servidor syslog externo es especialmente útil si tiene una red grande, utiliza múltiples tipos de aplicaciones S3 o desea conservar todos los datos de auditoría. Ver"Configurar mensajes de auditoría y servidor syslog externo" Para más detalles.
-
Ha iniciado sesión en Grid Manager mediante un"navegador web compatible" .
-
Tú tienes el"Permiso de mantenimiento o acceso root" .
-
Si planea configurar un servidor syslog externo, ha revisado la"Consideraciones para el uso de un servidor syslog externo" y se aseguró de que el servidor tenga suficiente capacidad para recibir y almacenar los archivos de registro.
-
Si planea configurar un servidor syslog externo usando el protocolo TLS o RELP/TLS, debe tener los certificados de cliente y CA del servidor necesarios y la clave privada del cliente.
Cambiar los niveles de los mensajes de auditoría
Puede establecer un nivel de auditoría diferente para cada una de las siguientes categorías de mensajes en el registro de auditoría:
| Categoría de auditoría | Configuración predeterminada | Más información |
|---|---|---|
Sistema |
Normal |
|
Almacenamiento |
Error |
|
Gestión |
Normal |
|
El cliente lee |
Normal |
|
El cliente escribe |
Normal |
|
ILM |
Normal |
|
Replicación entre redes |
Error |
|
Estos valores predeterminados se aplican si instaló inicialmente StorageGRID usando la versión 10.3 o posterior. Si utilizó inicialmente una versión anterior de StorageGRID, el valor predeterminado para todas las categorías se establece en Normal. |
|
|
Durante las actualizaciones, las configuraciones de nivel de auditoría no serán efectivas de inmediato. |
-
Seleccione CONFIGURACIÓN > Monitoreo > Servidor de auditoría y syslog.
-
Para cada categoría de mensaje de auditoría, seleccione un nivel de auditoría de la lista desplegable:
Nivel de auditoría Descripción Apagado
No se registran mensajes de auditoría de la categoría.
Error
Sólo se registran los mensajes de error: mensajes de auditoría para los cuales el código de resultado no fue "exitoso" (SUCS).
Normal
Se registran los mensajes transaccionales estándar (los mensajes enumerados en estas instrucciones para la categoría).
Depurar
Obsoleto. Este nivel se comporta igual que el nivel de auditoría Normal.
Los mensajes incluidos para cualquier nivel en particular incluyen aquellos que se registrarían en los niveles superiores. Por ejemplo, el nivel Normal incluye todos los mensajes de error.
Si no necesita un registro detallado de las operaciones de lectura del cliente para sus aplicaciones S3, cambie opcionalmente la configuración Lecturas de cliente a Error para disminuir la cantidad de mensajes de auditoría registrados en el registro de auditoría. -
Seleccione Guardar.
Un banner verde indica que su configuración ha sido guardada.
Definir encabezados de solicitud HTTP
Opcionalmente, puede definir cualquier encabezado de solicitud HTTP que desee incluir en los mensajes de auditoría de lectura y escritura del cliente. Estos encabezados de protocolo se aplican únicamente a solicitudes S3.
-
En la sección Encabezados de protocolo de auditoría, defina los encabezados de solicitud HTTP que desea incluir en los mensajes de auditoría de lectura y escritura del cliente.
Utilice un asterisco (*) como comodín para que coincida con cero o más caracteres. Utilice la secuencia de escape (\*) para que coincida con un asterisco literal.
-
Seleccione Agregar otro encabezado para crear encabezados adicionales, si es necesario.
Cuando se encuentran encabezados HTTP en una solicitud, se incluyen en el mensaje de auditoría en el campo HTRH.
Los encabezados de solicitud de protocolo de auditoría se registran solo si el nivel de auditoría para Lecturas de cliente o Escrituras de cliente no está Desactivado. -
Seleccione Guardar
Un banner verde indica que su configuración ha sido guardada.
Utilice un servidor syslog externo
Opcionalmente, puede configurar un servidor syslog externo para guardar registros de auditoría, registros de aplicaciones y registros de eventos de seguridad en una ubicación fuera de su red.
|
|
Si no desea utilizar un servidor syslog externo, omita este paso y vaya aSeleccionar destinos de información de auditoría . |
|
Si las opciones de configuración disponibles en este procedimiento no son lo suficientemente flexibles para satisfacer sus requisitos, se pueden aplicar opciones de configuración adicionales utilizando el audit-destinations puntos finales, que se encuentran en la sección API privada de la"API de gestión de red" . Por ejemplo, puede utilizar la API si desea utilizar diferentes servidores syslog para diferentes grupos de nodos.
|
Ingresar información de syslog
Acceda al asistente Configurar servidor syslog externo y proporcione la información que StorageGRID necesita para acceder al servidor syslog externo.
-
Desde la página Servidor de auditoría y syslog, seleccione Configurar servidor syslog externo. O bien, si ha configurado previamente un servidor syslog externo, seleccione Editar servidor syslog externo.
Aparece el asistente para configurar el servidor syslog externo.
-
Para el paso Ingresar información de syslog del asistente, ingrese un nombre de dominio completo válido o una dirección IPv4 o IPv6 para el servidor syslog externo en el campo Host.
-
Introduzca el puerto de destino en el servidor syslog externo (debe ser un número entero entre 1 y 65535). El puerto predeterminado es 514.
-
Seleccione el protocolo utilizado para enviar información de auditoría al servidor syslog externo.
Se recomienda utilizar TLS o RELP/TLS. Debe cargar un certificado de servidor para utilizar cualquiera de estas opciones. El uso de certificados ayuda a proteger las conexiones entre su red y el servidor syslog externo. Para obtener más información, consulte "Administrar certificados de seguridad" .
Todas las opciones de protocolo requieren el soporte y la configuración del servidor syslog externo. Debe elegir una opción que sea compatible con el servidor syslog externo.
El Protocolo de registro de eventos confiable (RELP) extiende la funcionalidad del protocolo syslog para proporcionar una entrega confiable de mensajes de eventos. El uso de RELP puede ayudar a evitar la pérdida de información de auditoría si su servidor syslog externo tiene que reiniciarse. -
Seleccione Continuar.
-
Si seleccionó TLS o RELP/TLS, cargue los certificados de CA del servidor, el certificado del cliente y la clave privada del cliente.
-
Seleccione Explorar para el certificado o la clave que desea utilizar.
-
Seleccione el certificado o el archivo de clave.
-
Seleccione Abrir para cargar el archivo.
Aparece una marca de verificación verde junto al nombre del certificado o del archivo de clave para notificarle que se ha cargado correctamente.
-
-
Seleccione Continuar.
Administrar el contenido de syslog
Puede seleccionar qué información enviar al servidor syslog externo.
-
Para el paso Administrar contenido de syslog del asistente, seleccione cada tipo de información de auditoría que desee enviar al servidor syslog externo.
-
Enviar registros de auditoría: envía eventos de StorageGRID y actividades del sistema
-
Enviar eventos de seguridad: Envía eventos de seguridad, como cuando un usuario no autorizado intenta iniciar sesión o un usuario inicia sesión como root.
-
Enviar registros de la aplicación: Envía"Archivos de registro del software StorageGRID" Útil para la resolución de problemas, incluidos:
-
bycast-err.log -
bycast.log -
jaeger.log -
nms.log(Solo nodos de administración) -
prometheus.log -
raft.log -
hagroups.log
-
-
Enviar registros de acceso: envía registros de acceso HTTP para solicitudes externas a Grid Manager, Tenant Manager, puntos finales de balanceador de carga configurados y solicitudes de federación de red desde sistemas remotos.
-
-
Utilice los menús desplegables para seleccionar la gravedad y la facilidad (tipo de mensaje) para cada categoría de información de auditoría que desee enviar.
Establecer los valores de gravedad y de facilidad puede ayudarle a agregar los registros de formas personalizables para facilitar el análisis.
-
Para Gravedad, seleccione Passthrough o seleccione un valor de gravedad entre 0 y 7.
Si selecciona un valor, el valor seleccionado se aplicará a todos los mensajes de este tipo. Se perderá información sobre los diferentes niveles de gravedad si anula la gravedad con un valor fijo.
Gravedad Descripción Paso a través
Cada mensaje enviado al syslog externo debe tener el mismo valor de gravedad que cuando se registró localmente en el nodo:
-
Para los registros de auditoría, la gravedad es "info".
-
Para los eventos de seguridad, los valores de gravedad son generados por la distribución de Linux en los nodos.
-
Para los registros de aplicaciones, la gravedad varía entre "información" y "aviso", dependiendo de cuál sea el problema. Por ejemplo, agregar un servidor NTP y configurar un grupo HA proporciona un valor de "información", mientras que detener intencionalmente el servicio SSM o RSM proporciona un valor de "aviso".
-
Para los registros de acceso, la gravedad es "info".
0
Emergencia: El sistema no se puede utilizar
1
Alerta: Se deben tomar medidas de inmediato
2
Crítico: Condiciones críticas
3
Error: Condiciones de error
4
Advertencia: Condiciones de advertencia
5
Aviso: Estado normal pero significativo.
6
Informativo: Mensajes informativos
7
Depuración: mensajes de nivel de depuración
-
-
Para Instalación, seleccione Paso a través, o seleccione un valor de instalación entre 0 y 23.
Si selecciona un valor, se aplicará a todos los mensajes de este tipo. Se perderá información sobre diferentes instalaciones si anula una instalación con un valor fijo.
Instalación Descripción Paso a través
Cada mensaje enviado al syslog externo debe tener el mismo valor de facilidad que cuando se registró localmente en el nodo:
-
Para los registros de auditoría, la función enviada al servidor syslog externo es "local7".
-
Para los eventos de seguridad, los valores de las instalaciones son generados por la distribución de Linux en los nodos.
-
Para los registros de aplicaciones, los registros de aplicaciones enviados al servidor syslog externo tienen los siguientes valores de instalación:
-
bycast.log: usuario o demonio -
bycast-err.log: usuario, demonio, local3 o local4 -
jaeger.log:local2 -
nms.log:local3 -
prometheus.log:local4 -
raft.log:local5 -
hagroups.log:local6
-
-
Para los registros de acceso, la función enviada al servidor syslog externo es "local0".
0
kern (mensajes del kernel)
1
usuario (mensajes a nivel de usuario)
2
correo
3
daemon (demonios del sistema)
4
auth (mensajes de seguridad/autorización)
5
syslog (mensajes generados internamente por syslogd)
6
lpr (subsistema de impresora de línea)
7
noticias (subsistema de noticias de la red)
8
UUCP
9
cron (demonio de reloj)
10
seguridad (mensajes de seguridad/autorización)
11
FTP
12
NTP
13
logaudit (auditoría de registros)
14
logalert (alerta de registro)
15
reloj (demonio del reloj)
16
local0
17
local1
18
local2
19
local3
20
local4
21
local5
22
local6
23
local7
-
-
Seleccione Continuar.
Enviar mensajes de prueba
Antes de comenzar a utilizar un servidor syslog externo, debe solicitar que todos los nodos de su red envíen mensajes de prueba al servidor syslog externo. Debe utilizar estos mensajes de prueba para ayudarlo a validar toda su infraestructura de recopilación de registros antes de comprometerse a enviar datos al servidor syslog externo.
|
No utilice la configuración del servidor syslog externo hasta que confirme que el servidor syslog externo recibió un mensaje de prueba de cada nodo de su red y que el mensaje se procesó como se esperaba. |
-
Si no desea enviar mensajes de prueba porque está seguro de que su servidor syslog externo está configurado correctamente y puede recibir información de auditoría de todos los nodos de su red, seleccione Omitir y finalizar.
Un banner verde indica que la configuración se ha guardado.
-
De lo contrario, seleccione Enviar mensajes de prueba (recomendado).
Los resultados de la prueba aparecen continuamente en la página hasta que usted detiene la prueba. Mientras la prueba está en curso, sus mensajes de auditoría continúan enviándose a los destinos previamente configurados.
-
Si recibe algún error, corríjalo y seleccione Enviar mensajes de prueba nuevamente.
Ver"Solucionar problemas de un servidor syslog externo" para ayudarle a resolver cualquier error.
-
Espere hasta que vea un banner verde que indique que todos los nodos han pasado la prueba.
-
Verifique su servidor syslog para determinar si los mensajes de prueba se están recibiendo y procesando como se espera.
Si está utilizando UDP, verifique toda su infraestructura de recopilación de registros. El protocolo UDP no permite una detección de errores tan rigurosa como los otros protocolos. -
Seleccione Detener y finalizar.
Regresará a la página Servidor de auditoría y syslog. Un banner verde indica que se ha guardado la configuración del servidor syslog.
La información de auditoría de StorageGRID no se envía al servidor syslog externo hasta que seleccione un destino que incluya el servidor syslog externo.
Seleccionar destinos de información de auditoría
Puede especificar dónde se guardan los registros de auditoría, los registros de eventos de seguridad y"Registros del software StorageGRID" se envían.
|
|
StorageGRID tiene como valor predeterminado los destinos de auditoría del nodo local y almacena la información de auditoría en Al utilizar Algunos destinos solo están disponibles si ha configurado un servidor syslog externo. |
-
En la página Servidor de auditoría y syslog, seleccione el destino de la información de auditoría.
Solo los nodos locales y los servidores syslog externos generalmente brindan un mejor rendimiento. Opción Descripción Solo nodos locales (predeterminado)
Los mensajes de auditoría, los registros de eventos de seguridad y los registros de aplicaciones no se envían a los nodos de administración. En cambio, se guardan únicamente en los nodos que los generaron ("el nodo local"). La información de auditoría generada en cada nodo local se almacena en
/var/local/log/localaudit.log.Nota: StorageGRID elimina periódicamente los registros locales en una rotación para liberar espacio. Cuando el archivo de registro de un nodo alcanza 1 GB, se guarda el archivo existente y se inicia un nuevo archivo de registro. El límite de rotación del registro es de 21 archivos. Cuando se crea la versión 22 del archivo de registro, se elimina el archivo de registro más antiguo. En promedio, se almacenan alrededor de 20 GB de datos de registro en cada nodo.
Nodos de administración/nodos locales
Los mensajes de auditoría se envían al registro de auditoría en los nodos de administración, y los registros de eventos de seguridad y los registros de aplicaciones se almacenan en los nodos que los generaron. La información de auditoría se almacena en los siguientes archivos:
-
Nodos de administración (principales y no principales):
/var/local/audit/export/audit.log -
Todos los nodos: El
/var/local/log/localaudit.logEl archivo normalmente está vacío o falta. Podría contener información secundaria, como una copia adicional de algunos mensajes.
Servidor syslog externo
La información de auditoría se envía a un servidor syslog externo y se guarda en los nodos locales(
/var/local/log/localaudit.log). El tipo de información enviada depende de cómo haya configurado el servidor syslog externo. Esta opción se habilita solo después de haber configurado un servidor syslog externo.Nodo de administración y servidor syslog externo
Los mensajes de auditoría se envían al registro de auditoría.(
/var/local/audit/export/audit.log) en los nodos de administración y la información de auditoría se envía al servidor syslog externo y se guarda en el nodo local(/var/local/log/localaudit.log). El tipo de información enviada depende de cómo haya configurado el servidor syslog externo. Esta opción se habilita solo después de haber configurado un servidor syslog externo. -
-
Seleccione Guardar.
Aparece un mensaje de advertencia.
-
Seleccione Aceptar para confirmar que desea cambiar el destino de la información de auditoría.
Un banner verde indica que se ha guardado la configuración de auditoría.
Los nuevos registros se envían a los destinos que usted seleccionó. Los registros existentes permanecen en su ubicación actual.